कैसे सक्रिय निर्देशिका में विशेषाधिकार प्राप्त उपयोगकर्ता खातों का ट्रैक रखने के लिए - कैसे

कैसे सक्रिय निर्देशिका में विशेषाधिकार प्राप्त उपयोगकर्ता खातों का ट्रैक रखने के लिए

सक्रिय निर्देशिका में क्या गतिविधियाँ हो रही हैं, इस पर नज़र रखना किसी भी समझदार आईटी सुरक्षा योजना का एक महत्वपूर्ण हिस्सा है। विशेषाधिकार हनन के निहितार्थ डेटा उल्लंघनों, डाउनटाइम, विफल अनुपालन ऑडिट और अधिक में परिणाम कर सकते हैं। जबकि AD की मूल ऑडिटिंग विशेषताएं आपको एक निश्चित बिंदु पर नज़र रखने की अनुमति देती हैं - अक्सर अकेले यह शायद पर्याप्त नहीं है। यह लेख कुछ सरल चरणों के माध्यम से बात करता है जो आप अपने सक्रिय निर्देशिका में विशेषाधिकार प्राप्त उपयोगकर्ताओं का ट्रैक रखने में आपकी मदद करने के लिए ले सकते हैं।

कुल 7 चरण

चरण 1: विशेषाधिकार प्राप्त उपयोगकर्ताओं को ट्रैक करें


तो पहली बात यह है कि आपको यह पहचानने की ज़रूरत है कि आपके विशेषाधिकार प्राप्त उपयोगकर्ता वास्तव में कौन हैं। इसके साथ ड्रिप प्राप्त करने के लिए आपको सुरक्षा समूहों की समीक्षा करने की आवश्यकता है - जहां आप प्रशासक, एंटरप्राइज एडमीन, डोमेन एडमिन और स्कीमा एडमिन देख सकते हैं।

आप उन्हें नीचे के रूप में पा सकते हैं:

i।) स्टार्ट> एक्टिव डायरेक्ट्री यूजर्स और कंप्यूटर पर जाएं।

ii।) अब, जंगल के मूल डोमेन में उपयोगकर्ताओं का चयन करें। सुरक्षा समूह एंटरप्राइज़ Admins / Domain Admins / स्कीमा Admins (एक के बाद एक) पर डबल-क्लिक करें। गुण विंडो में, सदस्य टैब पर क्लिक करें और विशेषाधिकार प्राप्त खातों के नाम नोट करें। गुण विंडो बंद करें।

iii। अब, जंगल के मूल डोमेन में बिलिन का चयन करें और ऊपर किए गए अनुसार प्रशासक सुरक्षा समूह के सदस्यों को नोट करें।

चरण 2: प्रासंगिक ऑडिट नीतियों का पता लगाएं


आपको ऑडिट की जाने वाली घटनाओं के प्रकार के आधार पर, ऑडिट पॉलिसी (स्थानीय नीतियों के तहत) या ऑडिट पॉलिसी (उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन के तहत) में संबंधित ऑडिट पॉलिसी को कॉन्फ़िगर करना होगा। यहां ऑडिट पॉलिसी (स्थानीय नीतियों के तहत) के तहत उपलब्ध ऑडिटिंग विकल्पों का सारांश है। ऑडिट नीतियों (उन्नत ऑडिट नीति कॉन्फ़िगरेशन के तहत) के लिए आप Microsoft साइटों का संदर्भ ले सकते हैं।

चरण 3: आवश्यक ऑडिट नीतियों को कैसे कॉन्फ़िगर करें


i।) स्टार्ट> एडमिनिस्ट्रेटिव टूल्स> ग्रुप पॉलिसी मैनेजमेंट पर जाएं।

ii) वन> डोमेन> डोमेन नाम> डोमेन नियंत्रकों का विस्तार करें और डिफ़ॉल्ट डोमेन नियंत्रक की नीति पर राइट-क्लिक करें; संपादित करें पर क्लिक करें।

iii।) समूह नीति प्रबंधन संपादक में, कंप्यूटर कॉन्फ़िगरेशन> नीतियों> विंडोज सेटिंग्स> सुरक्षा सेटिंग्स> स्थानीय नीतियों का विस्तार करें, और ऑडिट पॉलिसी का चयन करें।

iv।) दाईं ओर आवश्यक नीति पर डबल-क्लिक करें। गुण विंडो में, इन सेटिंग्स को परिभाषित करें का चयन करें। फिर सफलता या विफलता का चयन करें, या इन प्रयासों के तहत दोनों (आमतौर पर यह सुझाव दिया जाता है कि आप सफल प्रयासों का ऑडिट करें)। आखिर में अप्लाई और ओके पर क्लिक करें।

v।) पूर्व आवश्यकता के अनुसार अधिक लेखापरीक्षा नीतियों को कॉन्फ़िगर करें।

चरण 4: यदि आवश्यक हो तो "उन्नत लेखा परीक्षा नीति" कॉन्फ़िगर करें


ऑडिट नीतियों में अधिक शक्तिशाली नीतियों को कॉन्फ़िगर करने के लिए आप "उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन" का उपयोग कर सकते हैं। इन विकल्पों के बारे में अधिक जानकारी Microsoft साइटों से एकत्र की जा सकती है। भ्रम से बचने के लिए केवल सबसे आवश्यक नीतियों को कॉन्फ़िगर करें।

i।) स्टार्ट> एडमिनिस्ट्रेटिव टूल्स> ग्रुप पॉलिसी मैनेजमेंट पर जाएं।

ii) वन> डोमेन> डोमेन नाम> डोमेन नियंत्रकों का विस्तार करें और डिफ़ॉल्ट डोमेन नियंत्रक की नीति पर राइट-क्लिक करें; संपादित करें पर क्लिक करें।

iii।) समूह नीति प्रबंधन संपादक में, कंप्यूटर कॉन्फ़िगरेशन> नीतियों> विंडोज सेटिंग्स> सुरक्षा सेटिंग्स> उन्नत ऑडिट पॉलिसी कॉन्फ़िगरेशन> ऑडिट नीतियों का विस्तार करें। ऑडिट नीतियों के तहत पेड़ से आवश्यक नीति चुनें (उदाहरण के लिए: खाता लॉगऑन)।

iv।) राइट-पेन (उदा .: ऑडिट क्रेडेंशियल वैधीकरण) में उपश्रेणी के तहत एक नीति पर डबल-क्लिक करें और इसे आवश्यकतानुसार कॉन्फ़िगर करें। उपश्रेणी के तहत, यदि आवश्यक हो तो अधिक ऑडिट नीतियों को कॉन्फ़िगर करें।

v।) अब आप ऑडिट नीतियों के तहत पेड़ से अधिक ऑडिट पोल का चयन कर सकते हैं और उन्हें ऊपर के रूप में कॉन्फ़िगर कर सकते हैं।

चरण 5: उपयोगकर्ता खाते द्वारा घटनाओं को ट्रैक करने के लिए "विंडोज इवेंट व्यूअर" का उपयोग करें


घटनाओं के उत्पन्न होने के बाद आप लॉग देखने के लिए "विंडोज इवेंट व्यूअर" का उपयोग कर सकते हैं।

i।) स्टार्ट> प्रशासनिक उपकरण> ईवेंट व्यूअर पर क्लिक करें। Windows लॉग का विस्तार करें और सुरक्षा का चयन करें। इवेंट दर्शक अब सुरक्षा लॉग में दर्ज सभी घटनाओं को दिखाता है।

ii।) एक विशेष विशेषाधिकार वाले खाते (जैसे प्रशासक) द्वारा उत्पन्न घटनाओं को देखने के लिए, दाईं ओर स्थित खोजें आइकन पर क्लिक करें। खोज विंडो में, किसी भी विशेषाधिकार प्राप्त खाते (प्रशासक) का नाम दर्ज करें और ओके पर क्लिक करें (आप चरण 1 में उल्लेखित किसी भी विशेषाधिकार प्राप्त खाते का नाम दर्ज कर सकते हैं)।

iii। अब खोजें विंडो आपको विशेषाधिकार प्राप्त उपयोगकर्ता खाते द्वारा उत्पन्न घटना के लिए नेविगेट करती है (आप अगली बार खोजें पर क्लिक करके विशेषाधिकारित उपयोगकर्ता खाते द्वारा उत्पन्न अगले घटना पर नेविगेट कर सकते हैं)।

iv। ईवेंट विवरण देखने के लिए, खोजें विंडो को बंद करने के बाद ईवेंट पर डबल-क्लिक करें (या दाईं ओर इवेंट प्रॉपर्टीज़ पर क्लिक करें)।

चरण 6: इवेंट आईडी द्वारा घटनाओं को ट्रैक करें


आप ईवेंट व्यूअर द्वारा ईवेंट फ़िल्टर करने के लिए ईवेंट व्यूअर के फ़िल्टर करंट लॉग विकल्प का उपयोग कर सकते हैं (किसी विशिष्ट विशेषाधिकार वाले खाते द्वारा ईवेंट खोजने के लिए आइकॉन का उपयोग करने से पहले)।

i।) फ़िल्टर करंट लॉग आइकन पर क्लिक करें।

ii। फ़िल्टर करंट लॉग विंडो के ईवेंट आईडी में ईवेंट आईडी (कहें 4624) दर्ज करें। ओके पर क्लिक करें। अब, ID 4624 वाले सभी ईवेंट प्रदर्शित किए जाएंगे।

iii। अब विशेषाधिकार प्राप्त खाते (उत्पन्न, परीक्षण Privil.User) द्वारा उत्पन्न घटनाओं को खोजने के लिए (पिछले चरण में) खोजें आइकन का उपयोग करें।

चरण 7: ईवेंट विवरण देखें


खोज विंडो बंद करने के बाद आप किसी भी ईवेंट (या दाईं ओर ईवेंट गुण पर क्लिक करें) पर डबल-क्लिक कर सकते हैं। आप नेक्स्ट बटन का उपयोग करके अगले ईवेंट पर नेविगेट कर सकते हैं और उनके द्वारा की गई गतिविधि को ट्रैक करने के लिए उसके विवरण की जांच कर सकते हैं।

यद्यपि आप ऑडिटिंग का एक निश्चित स्तर प्राप्त कर सकते हैं जो आपको देशी प्रक्रियाओं के माध्यम से विशेषाधिकार प्राप्त उपयोगकर्ताओं की निगरानी करने में मदद करता है, तो आप पा सकते हैं कि यह प्रतिक्रियाशील, शोर और विशेष रूप से उपयोगकर्ता के अनुकूल नहीं हो सकता है। LepideAuditor की तरह बहुत सारे संगठन अब प्रो-एक्टिव, थर्ड-पार्टी सॉल्यूशंस अपना रहे हैं, जो विशेषाधिकार प्राप्त उपयोगकर्ताओं पर अलर्ट और रिपोर्ट देने का एक आसान और प्रभावी तरीका प्रदान करते हैं।